Los ataques de software espía Operación Triangulación dirigidos a dispositivos Apple iOS aprovecharon exploits nunca antes vistos que hicieron posible incluso eludir protecciones de seguridad fundamentales basadas en hardware erigidas por la empresa.
La empresa rusa de ciberseguridad Kaspersky, que descubrió la campaña a principios de 2023 tras convertirse en uno de los objetivos, descrito como la «cadena de ataque más sofisticada» que jamás haya observado hasta la fecha. Se cree que la campaña ha estado activa desde 2019.
La actividad de explotación implicó el uso de cuatro fallas de día cero que se formaron en una cadena para obtener un nivel de acceso sin precedentes y dispositivos de destino de puerta trasera que ejecutan versiones de iOS hasta iOS 16.2 con el objetivo final de recopilar información confidencial.
De USUARIO a ADMIN: aprenda cómo los piratas informáticos obtienen el control total
Descubra las tácticas secretas que utilizan los piratas informáticos para convertirse en administradores, cómo detectarlos y bloquearlos antes de que sea demasiado tarde. Regístrese hoy para nuestro seminario web.
El punto de partida del ataque sin clic es un iMessage que contiene un archivo adjunto malicioso, que se procesa automáticamente sin ninguna interacción del usuario para, en última instancia, obtener permisos elevados e implementar un módulo de software espía. Específicamente, implica el uso de armas de las siguientes vulnerabilidades:
- CVE-2023-41990 – Una falla en el componente FontParser que podría provocar la ejecución de código arbitrario al procesar un archivo de fuente especialmente diseñado, que se envía a través de iMessage. (Ubicado en iOS 15.7.8 y iOS 16.3)
- CVE-2023-32434 – Una vulnerabilidad de desbordamiento de enteros en el Kernel que podría ser aprovechada por una aplicación maliciosa para ejecutar código arbitrario con privilegios del kernel. (Abordado en iOS 15.7.7, iOS 15.8 y iOS 16.5.1)
- CVE-2023-32435 – Una vulnerabilidad de corrupción de memoria en WebKit que podría provocar la ejecución de código arbitrario al procesar contenido web especialmente diseñado. (Abordado en iOS 15.7.7 y iOS 16.5.1)
- CVE-2023-38606 – Un problema en el kernel que permite que una aplicación maliciosa modifique el estado sensible del kernel. (Abordado en iOS 16.6)
Vale la pena señalar que Apple lanzó parches para CVE-2023-41990 en enero de 2023, aunque la compañía no hizo públicos los detalles sobre la explotación hasta el 8 de septiembre de 2023, el mismo día que envió iOS 16.6.1 para resolver otros dos. fallas (CVE-2023-41061 y CVE-2023-41064) de las que se abusó activamente en relación con una campaña de software espía Pegasus.
Esto también eleva a 20 el número de días cero explotados activamente resueltos por Apple desde principios de año.
De las cuatro vulnerabilidades, CVE-2023-38606 merece una mención especial, ya que facilita eludir la protección de seguridad basada en hardware para regiones sensibles de la memoria del kernel aprovechando las E/S asignadas en memoria (MMIO) registra, una característica que nunca se había conocido ni documentado hasta ahora.
El exploit, en particular, apunta a los SoC Bionic A12-A16 de Apple, destacando bloques de registros MMIO desconocidos que pertenecen al coprocesador GPU. Actualmente no se sabe cómo los misteriosos actores de amenazas detrás de la operación se enteraron de su existencia. Tampoco está claro si fue desarrollado por Apple o es un componente de terceros como ARM CoreSight.
Para decirlo de otra manera, CVE-2023-38606 es el eslabón crucial en la cadena de exploits que está estrechamente entrelazado con el éxito de la campaña Operación Triangulación, dado que permite al actor de la amenaza obtener el control total del sistema comprometido.
«Nuestra suposición es que esta característica de hardware desconocida probablemente estaba destinada a ser utilizada con fines de depuración o prueba por parte de los ingenieros de Apple o de la fábrica, o que se incluyó por error», dijo el investigador de seguridad Boris Larin. «Debido a que el firmware no utiliza esta característica, no tenemos idea de cómo los atacantes sabrían cómo usarla».
«La seguridad del hardware muy a menudo se basa en la ‘seguridad a través de la oscuridad’, y es mucho más difícil aplicar ingeniería inversa que el software, pero este es un enfoque defectuoso, porque tarde o temprano, todos los secretos se revelan. Los sistemas que dependen de la «seguridad a través de la oscuridad» «La oscuridad» nunca puede ser verdaderamente segura».
El desarrollo se produce cuando el Washington Post reportado que las advertencias de Apple en finales de octubre La información sobre cómo los periodistas y políticos de la oposición indios pueden haber sido blanco de ataques de software espía patrocinados por el Estado llevó al gobierno a cuestionar la veracidad de las afirmaciones y describirlas como un caso de «mal funcionamiento algorítmico» dentro de los sistemas del gigante tecnológico.
Además, altos funcionarios de la administración exigieron que la empresa suavizara el impacto político de las advertencias y presionaron a la empresa para que proporcionara explicaciones alternativas sobre por qué se pudieron haber enviado las advertencias. Hasta ahora, India no ha confirmado ni negado el uso de software espía como el de Pegasus de NSO Group.
Citando a personas con conocimiento del asunto, el Washington Post señaló que «los funcionarios indios pidieron a Apple que retirara las advertencias y dijeran que había cometido un error», y que «los ejecutivos de comunicaciones corporativas de Apple India comenzaron a pedir en privado a los periodistas tecnológicos indios que enfatizaran en sus historias que las advertencias de Apple podrían ser falsas alarmas» para desviar la atención del gobierno.